مؤسسة أمنية: يُشتبه في أن مجموعة قراصنة كورية شمالية تتعاون لمهاجمة شركات العملات الرقمية وسرقة المفاتيح والأصول السحابية

أفادت BlockBeats في 9 مارس أن مؤسسة البحث الأمني Ctrl-Alt-Intel كشفت عن مجموعة من القراصنة يُشتبه في ارتباطهم بكوريا الشمالية شنوا هجمات على منصات الستيكينج، ومزودي برامج البورصات، وبورصات العملات المشفرة. استغل المهاجمون ثغرة React2Shell (CVE-2025-55182) وأيضاً بيانات اعتماد الوصول إلى AWS التي تم الحصول عليها لاختراق بيئة السحابة، وقاموا بتعداد موارد مثل S3 وEC2 وRDS وEKS وECR، كما استخرجوا المفاتيح وبيانات الاعتماد من Secrets Manager وملفات Terraform وتكوينات Kubernetes وحاويات Docker.

ذكر الباحثون أن المهاجمين قاموا بتنزيل خمسة صور Docker وسرقوا الشيفرة المصدرية، بما في ذلك مكونات البرامج المتعلقة بعملاء ChainUp. شملت البنية التحتية للهجوم خادمًا في كوريا الجنوبية 64.176.226[.]36 واسم نطاق itemnania[.]com. وأشار التقرير إلى أن هذا النشاط يتوافق مع خصائص الهجمات المرتبطة بكوريا الشمالية، لكن مستوى الثقة في النسبة متوسط ولم يتم تحديد مصدر بيانات اعتماد AWS بشكل واضح.